Здравствуйте. Вот появился вирус не могу удалить [COLOR="Red"][I]размножаться[/I][/COLOR] по диску С ( создаёт файл с названием l который нужно постоянно уд[COLOR="Red"]а[/COLOR]лять чтоб не создалось подключение z-connect ) . Помогите пожалуйста:
Printable View
Здравствуйте. Вот появился вирус не могу удалить [COLOR="Red"][I]размножаться[/I][/COLOR] по диску С ( создаёт файл с названием l который нужно постоянно уд[COLOR="Red"]а[/COLOR]лять чтоб не создалось подключение z-connect ) . Помогите пожалуйста:
Закройте все программы.
Запустите AVZ. Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
DeleteService('MRSVSS Service');
QuarantineFile('c:\windows\winsvc32.exe','');
QuarantineFile('c:\windows\system\mrsvss.exe','');
DeleteFile('c:\windows\system\mrsvss.exe');
DeleteFile('C:\DOCUME~1\Lord^\LOCALS~1\Temp\Rar$DI00.828\TUNNEL~1.SCR');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
[/code]
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку [color=red][b][u]Прислать запрошенный карантин[/u][/b][/color], вверху этой темы.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Вроде z-connect пропал но файлы с названием l еще создаются проверьте пожалуйста:)
Password Door вы сами установили?
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
ClearQuarantine;
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe');
DeleteFile('C:\WINDOWS\system32\04.scr');
DeleteFile('C:\WINDOWS\system32\13.scr');
DeleteFile('C:\WINDOWS\system32\72.scr');
DeleteFile('C:\WINDOWS\system32\75.scr');
DeleteFile('C:\WINDOWS\winsvc32.exe');
DeleteFile('C:\WINDOWS\system\mrsvss.exe');
DeleteFile('c:\windows\system\mrsvss.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Обновите базы AVZ.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Проведите процедуру, описанную в первом сообщении тут: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Извините что долго не отвечал свет выключили... А что такое pasword Door это что теперь все мои пароли знают??
Проглядел один файлик и он всю компанию обратно притянул. :(
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DeleteService('MRSVSS Service');
DeleteFile('c:\windows\system\mrsvss.exe');
DeleteFile('c:\windows\tstray.exe');
DeleteFile('C:\WINDOWS\system\mrsvss.exe');
DeleteFile('C:\WINDOWS\tstray.exe');
DeleteFile('winsvc32.exe');
DeleteFile('C:\WINDOWS\system32\86.scr');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\6DZIGHCP\i[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.
Password Door: [url]http://www.cwer.ru/password_door_v8_4_2_rus[/url]
как я уже говорил на диске С создаётся какой то то файл "l"
В логах чисто.
А что делать с тем файлом который удаляешь а он сам восстанавливаться? это вирус? может его выслать вам:))))
Высылайте.
Вот Отписался в теме которой вы говорили "Для всех желающих нам помочь" Вот результат проверки:
Кстати не могу включить опцию "Отображать скрытые файлы и папки"
Архив 090623_161015_virusinfo_files_LORD-F819C03117_4a40c6270f03d.zip, загружен 23.06.2009 16:40:15, размер 1869759 байт
Всего файлов: 13 (исполняемых 13), из них:
зловреды или опасные объекты: 2
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 5
обычный приоритет: 5
Внимание, в архиве обнаружены опасные или вредоносные объекты:
c:\l.exe: Net-Worm.Win32.Kolab.cue
c:\windows\system\mrsvss.exe: Net-Worm.Win32.Kolab.cue
Поставьте надежный пароль на учетные записи с правами Администратора.
Установите обновления безопасности на Windows.
Начать лучше с [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] на Windows (может потребоваться активация).
+ для восстановления отображения скрытых файлов
Выполните скрипт в AVZ
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
thyrex скрипт не помог . А есть другие способы кроме обновления системы... 100% потребует активации... Как только перехожу на обновления баз mozila выдаёт ошибку... И при запуске компьютера стало появляться окошко RegSvr32
Давайте логи по новой.
thyrex извиняюсь всё таки скрипт помог)) И опять появился z-connect я создал нормальное подключение с таким же названием))) В моём компьютере появился раздел Мои Веб папки) Вот логи и вирус.
[B]Уберите зараженный файл из вложений[/B]
Пофиксить в HiJack
[code] R3 - URLSearchHook: (no name) - - (no file)
O4 - HKLM\..\Run: [Windows Virtual Manager] vmnat.exe
[/code]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\tstray.exe','');
QuarantineFile('C:\WINDOWS\system32\77.scr','');
QuarantineFile('C:\WINDOWS\system32\21.scr','');
QuarantineFile('C:\WINDOWS\system32\16.scr','');
QuarantineFile('C:\WINDOWS\system32\13.scr','');
QuarantineFile('C:\WINDOWS\system32\12.scr','');
QuarantineFile('C:\WINDOWS\system32\08.scr','');
QuarantineFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe','');
DeleteService('MRSVSS Service');
QuarantineFile('C:\WINDOWS\system32\drivers\sysdrv32.sys','');
QuarantineFile('c:\windows\vmnat.exe','');
TerminateProcessByName('c:\windows\system\mrsvss.exe');
QuarantineFile('c:\windows\system\mrsvss.exe','');
DeleteFile('c:\windows\system\mrsvss.exe');
DeleteFile('C:\WINDOWS\system32\drivers\sysdrv32.sys');
DeleteFile('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\S56IHHW6\i[1].exe');
DeleteFile('C:\WINDOWS\system32\08.scr');
DeleteFile('C:\WINDOWS\system32\12.scr');
DeleteFile('C:\WINDOWS\system32\13.scr');
DeleteFile('C:\WINDOWS\system32\16.scr');
DeleteFile('C:\WINDOWS\system32\21.scr');
DeleteFile('C:\WINDOWS\system32\77.scr');
DeleteFile('C:\WINDOWS\tstray.exe');
DeleteFileMask('C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Сделайте новые логи
[quote=lordenas]А есть другие способы кроме обновления системы... 100% потребует активации... [/quote]
Есть, установите антивирус, который детектирует вашего "друга":
[url]http://www.virustotal.com/ru/analisis/b2c1cd286115e7e7e914ef145fe25337ec70f03d4a3ccb7cf1c5b47c01da2ba9-1245804398[/url]
Файл l перестал создаваться. Кстати входе проверки выполнения скрипта avz заметил в строке C:\WINDOWS\system32\TLPD.DLL --> Подозрение на Keylogger или троянскую DLL..... Что делать с этим:)) или это не вирус)
Ответ по вчерашнему карантину (неполный)
[QUOTE]04.scr_, 13.scr_, i[1].exe_, tstray.exe_ - Net-Worm.Win32.Kolab.cvf
Детектирование файлов будет добавлено в следующее обновление.
TLPD.DLL
Вредоносный код в файлах не обнаружен.[/QUOTE]
Пофиксить в HiJack
[CODE]O4 - HKCU\..\Run: [swg] C:\WINDOWS\system32\regsvr32.exe[/CODE]
Подождем ответ про этот файл - [B]c:\windows\vmnat.exe[/B]